Dün ABD’nin doğu yakasını etkilediği belirtilen dev siber saldırı pek çok sitenin ya da servisin durmasına ya da kesintili hizmet vermesine neden oldu [1]. Saldırı, Türkiye’nin aralık 2015’de yaşadığı “DNS sistemine” saldırının bir benzeriydi.
Burada amaç DNS çözümlemesini engellemektir. Yani www.turk-internet.com yazdığınızda, onun 197.85.21.51 gibi bir numaradan ibaret olan IP adresini okuduğu sunuculardan birisi olan DYN’nin servis veremeyecek düzeyde meşgul edilmesi için yoğun erişim istediği gönderildi. Bu da sitelerin web adreslerinin bulunamaması sonucunda, servis verilememesi anlamına geliyordu.
Şimdiye kadar ki en büyüklerden birisi olarak tanımlanan saldırıyı takip ediyoruz. Büyük olmasının nedeni ise çok çeşitli araçlardan geliyor olması. DGN Teknoloji CEO’su Dağhan Uzgur’a olayın detayları ile ilgili olarak şimdiye kadar ortaya çıkan noktaları sorduk;
Saldırı neydi?
2 aşamalı bir saldırı gördük. Yine ve yeniden DDos saldırısı ile dünya genelinde çok kullanılan servislerin kesintiye uğramasına sebep olundu. 21 Ekim saat 11:10 UTC’de başlayan saldırı ile Github, Twitter, SaneBox, Reddit, AirBnB, Heroku gibi servislerde kesintiler gözlenmeye başladı. Saldırının DYN mühendislerince 13:20 UTC civarında durdurulduğu görülüyor.
Ancak sonrasında, 15:50 UTC’de yeniden başlamış ve bu da 17:00 UTC civarı durdurulmuş. Saldırı yeniden başlayabilir uyarısı da mevcut.
Bir saldırı bu kadar çok siteyi nasıl etkiledi?
Büyük sitelerin DNS servisi hizmetini sağlayan DYNdns’e doğru yapılan saldırı nedeniyle isim IP çözümlemesi gerçekleşmedi ve sitelere ait servisler cevap veremez hale geldi. Saldırı direkt olarak adı sayılan sitelere yapılmasa da DNS çözümlemesi yapılamaması nedeniyle kullanıcılar servislere erişemedi. Buradaki zafiyet ise bir çok internet sitesinin aynı servis sağlayıcıyı kullanıyor olmasıydı.
Saldırı nasıl yapıldı?
Nesnelerin interneti ile birlikte bir çok cihaz internete bağlı duruma geldi. Ancak bu teknoloji ile birlikte düşük güvenlik önlemleri veya iyi geliştirilmemiş işletim sistemlerini kullanan cihazlar birer silah haline dönüştü. Cihazlardaki açıklardan faydalanan saldırganlar cihazların DYNdns servislerine doğru yoğun paket göndermesini sağladı.
Türkiye’de saldırı neden daha geç hissedildi?
DNS servisleri içinde bir cache mekanizması barındırdığından olası bir kesinti durumunda DNS servisini sunan sağlayıcının belirlediği bir süre içinde istekler sunucuya gönderilmeden depo bilgiden karşılanabilmekte. Bu sebeple Türkiye’deki internet servis sağlayıcıların DNS cache süreleri boyunca problem Türkiye’de hissedilmedi. Daha geç hissedildi. Ayrıca yine ABD’de internet kullanıcılarının genel olarak internet sitelerine erişememelerine sebep olan bu duruma sebep olan DNS servislerinden farklı IP adreslerini kullanan Türk kullanıcılar bu kesintilerden etkilenmedi.
Bu tip bir DNS saldırısı daha önce .TR alanadı servis sağlayıcısı ODTÜ’ye yönelik de yapılmıştı.
Bir merkezden gelmeyen bu tip bir saldırının engellenmesi daha zor ve zahmetli olduğu için DYN tarafında, problemin giderilmesi zaman aldı. Amerika’da geniş bir alanı etkileyen DNS problemini kullanıcılar farklı DNS IP adresleri kullanarak aşmaya çalıştılar. Saat 17:00 UTC itibari le DYN saldırıyı engellediğini bildirdi.
[1] Dünya Çapında Rekor Büyüklükte Bir Ddos Saldırısı Var

Kaynak : 